Strona główna Analizy prawne Administrator Bezpieczeństwa Informacji? Dlaczego warto go powołać?

Administrator Bezpieczeństwa Informacji? Dlaczego warto go powołać?

Maciej Chodorowski
-
1
Administrator Bezpieczeństwa Informacji? Dlaczego warto go powołać?

Od 1 stycznia 2015 roku obowiązują nowe przepisy ułatwiające przestrzeganie ochrony danych osobowych przez Administratorów Danych Osobowych. Jest łatwiej, jednak by można było z tego skorzystać w naszej strukturze organizacyjnej mus być powołany i zgłoszony do GIODO- Administrator Bezpieczeństwa Informacji. Jeżeli jeszcze nie powołałeś ABI-ego, to czas najwyższy zapoznać się z ułatwieniami, które dzięki niemu zyskasz.

Nowe przepisy, które weszły w życie od nowego roku wprowadzają liczne zmiany. Zmiany te mogą okazać się całkiem sporym uproszczeniem dla Administratorów Danych Osobowych (dalej ADO). Nowelizacja wprowadza w szczególności zwolnienia w rejestracji baz danych, nowe obowiązki Administratora Bezpieczeństwa Informacji oraz ich jawny rejestr. Z uproszczeń możemy skorzystać jednak tylko w wypadku powołania i zgłoszenia ABI-ego do GIODO. Jakie są inne powody dla których powinniśmy go powołać?

1. Zwolnienie z obowiązku rejestracji zbiorów danych

Pierwszym powodem dla którego powinniśmy powołać ABI-ego w naszym przedsiębiorstwie, instytucji lub jednostce samorządu terytorialnego jest zwolnienie nas z obowiązku rejestracyjnego. Zwolnieniem są objęte zbiory danych w których nie przetwarzamy danych szczególnie chronionych (art. 27 ustawy o ochronie danych osobowych). Zwolnienie obejmuje zbiory przetwarzane zarówno w  systemach teleinformatycznych, jak i w zbiorach papierowych. W przypadku nie powołania go nowe przepisy zwalniają nas tylko z rejestracji tych ostatnich zbiorów (z wyjątkiem zbiorów w których przetwarzamy dane wrażliwe- je zawsze rejestrujemy). Brak powołania administratora bezpieczeństwa informacji skutkuje tym, że nadal musimy rejestrować zbiory znajdujące się w systemach informatycznych, których przetwarzanie w każdym z podmiotów czy to publicznych czy prywatnych stanowi „chleb powszedni” ich działalności.

2. Oddelegowanie obowiązków związanych z nadzorem nad przestrzeganiem danych osobowych

Powołanie ABI-ego w nowym stanie prawnym zdejmuje dodatkowo z ADO obowiązek wykonywania nadzoru wewnętrznego nad bezpieczeństwem przetwarzania danych osobowych w jednostce organizacyjnej.  W razie nie powołania ABI-ego administrator danych musi sam przeprowadzać czynności polegające na:

  1. sprawdzaniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych

  2. zapewnianiu opracowywania i aktualizowania dokumentów opisujących sposób przetwarzania danych oraz środki ochrony tych danych w tym: polityki bezpieczeństwa informacji oraz instrukcji bezpieczeństwa systemów informatycznych. Dodatkowo musi nadzorować przestrzeganie zasad w nich określonych.

  3. zaznajamianiu osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Ilość zadań jakie przenosimy na ABI-ego jest znaczna. Odciąża to w zupełności nas z wielu obowiązków. Powołanie ABI nie wyłącza jednak odpowiedzialność, ale może znacznie obniżać jej ryzyko.

3. Administrator Bezpieczeństwa Informacji , a nie GIODO może przeprowadzić kontrole

W nowelizacji ustawy został dodany również art. 19b. Umożliwia on odstąpienie od kontroli przez GIODO oraz przekazanie przeprowadzenia przez ABI-ego wpisanego do rejestru, czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych zgodnie z przepisami. Zakres kontroli zostaje wskazany przez GIODO zarejestrowanemu ABI-emu. Trzeba pamiętać, że nie wyłącza to oczywiście możliwości GIODO do późniejszej kontroli. Powołanie ABI-ego uchroni nas wobec tego przed każdorazową wizytą Inspektorów w naszej jednostce organizacyjnej w przypadku zgłoszenia do nich naruszenia przepisów dotyczących ochrony danych osobowych.

Dodatkowo w nowym stanie prawnym administrator bezpieczeństwa informacji musi przedstawiać ADO sprawozdanie z zgodności przetwarzania danych z przepisami prawa. Ta druga instytucja umożliwia ADO kontrolę oraz aktualną wiedze o zgodności przetwarzania danych.

4. Wyznaczane innych obowiązków

Nowa ustawa umożliwia również wyznaczenie i innych obowiązków ABI-emu. Obowiązki te nie mogą jednak naruszać prawidłowego wykonywania obowiązków ABI. Może być to wobec tego przeprowadzanie szkoleń innym pracownikom lub doradztwo w zakresie ochrony danych osobowych.

5. Obniżenie kosztów

Nowa ustawa nie wyznacza w jakiej formie ma być powołany ABI. Wobec tego dozwolone jest powołanie go na podstawie wszelkich umów w tym umowy zlecenia, współpracy, itp, jak również zarządzenia czy oświadczenia woli ADO.  Szkolenie pracowników czy tworzenie etatu dla specjalisty wiążą się z zwiększeniem kosztów prowadzenia działalności. Ratunkiem dla budżetu może być skorzystanie z usługi outsourcingu ABI. Jeżeli nie mamy wystarczających funduszy, by zatrudnić u siebie ABI-ego lub chcemy obiżyć koszty, ratunkiem może być właśnie ta usługa . Obecnie wiele podmiotów oferuję taką usługę w dosyć zadowalających cenach. Umożliwia to skorzystanie z pomocy fachowców zajmujących się danymi osobowymi za niższe koszty niż w wypadku zatrudnienia ich na etacie. Innym sposobem jest zmiana etatu jednego z naszych pracowników do 3/4 oraz zatrudnienia go na etat ABI-ego w 1/4. Oczywiście proporcje zależne są od wielkości przedsiębiorstwa czy podmiotu publicznego.

Podsumowanie

Nowelizacja ustawy o ochronie danych osobowych wprowadza znaczne ułatwienia w zakresie prowadzenia rejestrów i odciążenia ADO z innych obowiązków. Jednak pod warunkiem powołania i zgłoszenia ABI-ego. Jeżeli tego nie uczynimy wówczas odpowiedzialność za zgodne z prawem przetwarzanie danych ciążyć będzie nadal na nas, dodatkowo będziemy musieli wciąż rejestrować zbiory danych przetwarzane w systemach informatycznych. Koszty dodatkowo można obniżyć wybierając usługę outsourcingu ABI. Wobec tego warto jest powołać ABI-ego w ramach swojej struktury. Więc dlaczego jeszcze go nie powołałeś?

A według Ciebie czy naprawdę warto go powoływać? Może ustawowe obowiązki nie są, aż tak uciążliwe byś sam mógł je dźwigać?

Swoją opinią lub komentarzem podziel się poniżej. Jeżeli uważasz artykuł za interesujący podziel się nim z innymi za pomocą poniższych przycisków. Nie zapomni też ocenić go za pomocą poniższych gwiazdek, pomoże mi to pisać jeszcze lepsze teksty! Jeżeli chcesz być na bieżąco podążaj za mną na serwisach społecznościowych: facebook, twitter, linkedin, google+ lub zapisz się na newsletter! [wysija_form id=”2″]
Maciej Chodorowski

Prawnik, doświadczony specjalista w dziedzinie ochrony danych osobowych, audytor wewnętrzny ISO 27001, Inspektor Ochrony Danych (IOD), a także prezes zarządu firmy doradczej Data Legal Solutions Sp. z o.o.

1 KOMENTARZ

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj


The reCAPTCHA verification period has expired. Please reload the page.

© Newspaper WordPress Theme by TagDiv